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PROCEDE DE TRANSPORT DE PAQUETS ENTRE UNE INTERFACE 
D'ACCES D'UNE INSTALLATION D'ABONNE ET UN RESEAU PARTAGE. 
ET INTERFACE D'ACCES METTANT EN CEUVRE UN TEL PROCEDE 

La presente invention concerne les r^eseaux de transmission par 
paquets. 1 Elle s'applique notamment, mais non^ exclusivement, aux reseaux 
partages fonctionnant selon le protocole Internet (IP). 

La mise en oeuvre cle I' invention intervient dans le cadre des relations 
contractuelles entre un fournisseur d'acces au reseau partage et ses clients. Le 
fournisseur dispose, pour le raccordement des installations de ses clients, d'un 
ou plusieurs routeurs de concentration du reseau partage. Des lignes de 
transmission relient ce routeur de concentration aux interfaces d'acces des 
installations des clients, qui peuvent etre des interfaces de routeurs d'acces de 
reseaux prives. \ 

On , designe ici par fonctions de « police » divers traitements ou 
controles effectues au niveau d'une interface du reseau sur des flux de 
donnees qui la traversent. A titre d'exemples non limitatifs, on peut citer le 
comptage des paquets echanges entre une adresse de source et une adresse 
de destination donnees, I'attribution de priorites a certains paquets, des 
traductions d'adresse, la destruction selective de certains paquets, etc. 

Ces fonctions de police peuvent s'inscrire dans un cadre contractuel 
entre un abonne (client) et un gestionnaire du reseau (fournisseur de services). 
Cela peut par exemple etre le cas de fonctions relatives a la facturation, au 
controle de debit, aux autorisations d'acces a certains sites relies au reseau, a 
la mise en oeuvre de protocoles de reservation tels que RSVP,.... Elles 
peuvent egalement s'inscrire dans le cadre de Porganisation interne d'un 
reseau public ou prive, par exemple pour controler certains acces. 

Habituellement, les fonctions de police relevant du cadre contractuel 
entre le fournisseur d'acces et ses clients sont mises en oeuvre au niveau des 
interfaces de raccordement du routeur de concentration. Ce routeur heberge 
des logiciels de controle des flux qui circulent sur ses differentes interfaces. 
Les paquets ayant certaines adresses ou ports de provenance ou de 
destination sont comptes, filtres, reagences... selon le type de service offert. 
Du fait du nombre eleve d' installations susceptibles d'etre reliees au routeur de 
concentration et de la variete de services qui peuvent etre rendus pour ces 
installations, les differents controles de flux a appliquer peuvent augmenter 
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considerablement la cornplexite du routeur. Cet inconvenient est d'autant plus 
sensible que des traitements de plus en plus divers sont demandes par les 
clients ou requis par les nouveaux protocoles de reservation. 

D'autre part, cette organisation n'est pas souple pour le client qui 
5 souhaite faire evoluer certaines t caracteristiques du service qui lui est offer! II 
doit pour cela s'adresser a son fournisseur pour que celui-ci effectue les 

changements requis au niveau de son routeur de concentration. 

i' 

Un but de la presente invention est de proposer un mode de 

fonctionnement du reseau qui permette la prise en compte d'une grande 
10 diversite de controles de flux sans' se traduire par une augmentation excessive 

de la cornplexite des routeurs de concentration, et avec une relative souplesse 

de configuration. j 

[.'invention propose ainsi un procede de transport de paquets entre une 

interface d'acces d'une installation d'abonne et un routeur de concentration 
15 d'un reseau partage, dans lequel r interface d'acces procede a des operations 

de controle sur des flux de paquets emis vers le routeur de concentration dans 

le cadre d'un contrat entre I'abonne et un gestionnaire du reseau partage. 

Apres avoir procede aux operations de controle vis-a-vis d'un paquet a 

emettre, T interface d'acces emet ce paquet vers le routeur de concentration 
20 avec une signature basee sur un secret partage avec le routeur de 

concentration, authentifiant que le paquet a ete soumis aux operations de 

controle. 

De preference, I'obtention de la signature et certaines au moins des 
operations de controle sont realisees au sein dun meme circuit integre, sans 
25 acces physique immediatement en amont de I'obtention de la signature. 

Les controles de flux relevant du cadre contractuel entre le 
gestionnaire du reseau et I'abonne sont ainsi decentralises, ce qui evite que le 
routeur de concentration ait a assumer toute la diversite des operations 
requises par les differents abonnements. Le mecanisme de signature des 
30 paquets garantit au gestionnaire du reseau que I'abonne, qui dispose dans ses 
iocaux de Tinterface d' acces, ne lui envoie pas de paquets qui n'auraient pas 
ete soumis aux operations de controle de flux, c'est-a-dire qui auraient 
contourne les fonctions de police et de facturation. 

Le procede donne lieu a une architecture distribute de Tacces et de la 
35 concentration, qui est bien adaptee pour prendre en compte les augmentations 
de trafic et de diversite de services qu'entraineront les applications futures. 
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L'abonne beneficie en outre cf une plus grande souplesse pour definir 
dynamiquement les caracteristiques de son abonnement. II lui suffit d'intervenir 
au niveau de I' interface d'acces dont il dispose. II peut cf autre part definir les 
fonctions de police relevant du cadre contractuel avec le fournisseur d'acces 
5 sur la meme plate-forme que les autres fonctions de police qu/il utilise pour 
('organisation interne de son installation, ce qui simplifie son organisation, 

Un autre aspect de la presente invention se rapporte a une interface 
d'acces pour relier un routeur d'acces d'une installation d'abonne a un routeur 
de concentration d'un reseau partage, comprenant des' moyens de contrfile des 
10 flux de paquets emis vers le routeur de concentration, dans le cadre d'un 
contrat entreTabonne et un gestiorpnaire du reseau partage, et des moyens de 
signature recevant les paquets delivres par les moyens de controle de flux et 
produisant des paquets signes emis vers le routeur de concentration, chaque 
paquet signe comportant une signature basee sur un secret partage avec le 
15 routeur de concentration, authentifiant que le paquet a ete soumis aux moyens 
de controle de flux. ! 

D'autres particularites et avantages de la presente invention 
apparaitront dans la description ci-apres d'exemples de realisation rion 
limitatifs, en reference aux dessins annexes, dans lesquels : 
20 - la figure 1 est un schema d'un reseau ou ['invention peut etre mise en 

ceuvre ; 

- la figure 2 est un schema synoptique d'un routeur d'acces d'une 
installation privee de ce reseau ; 

- la figure 3 est un schema synoptique d'un dispositif de traitement de 
25 flux faisant partie d'une interface du routeur de la figure 2 ; et 

- la figure 4 est un graphe de traitements elementaires assures par le 
dispositif de la figure 3. 

La figure 1 montre un reseau partage de grande etendue (WAN) 10 
comportant un certain nombre de routeurs et commutateurs interconnectes 
30 11,12. On considere ici le cas ou le reseau partage 10 fonctionne selon le 
protocole IP. Un certain nombre des routeurs sont des routeurs de 
.concentration 12 auxquels sont reliees des installations privees 13. 

Une installation privee d'abonne 13 est typiquement reliee au reseau 
partage 10 au moyen d'un routeur d'acces 15 dont I'une des interfaces 16 est 
35 reliee a une ligne 17 de transmission depuis et vers le routeur de concentration 
12. Le routeur d'acces 15 peut etre relie a d'autres routeurs de ('installation 



privee 13 ou a des serveurs ou terminaux 18 de cette installation, au moyen 
d'autres interfaces non representees sur la figure 1 . 

La figure 2 montre un exemple d'architecture du routeur d'acces 15. 
L'interface exterieure 16, ainsi que les interfaces 20,21 avec le reste de 
Installation privee 13, sont reliees au cceur du routeur consistant en un moteur 
d'acheminement de paquets 22 (« packet forwarding engine »). Le moteur 
d'acheminemeht 22 achemine les paquets d'une interface vers une autre sur la 
base des champs d'adresse et de port contenus dans les en-tetes des paquets 
conformement au protocole IP et a ses eventuelles extensions (TCP, UDP,...), 
en se reportant a des tables de routage. 

Certaines des interfaces du routeur d'acces 15 sont pourvues, dans 
I'un seulement ou dans les deux sens de transmission, de dispositifs de 
traitement, ou processeurs de flux, 24,25 assurant des fonctions de police. 
Dans I'exemple illustratif de la figure 2, le dispositif 24 equipe I'interface 
exterieure 16 dans le sens sortant, et le dispositif 25 equipe une autre interface 
20 dans le sens entrant. 

Le routeur d'acces est supervise par une unite de gestion 26 pouvant 
consister en un micro-ordinateur ou une station de travail qui execute un 
logiciel de routage servant notamment a configurer la table de routage du 
moteur d'acheminement 22 et les processeurs de flux 24,25 et a echanger 
avec eux des informations de controle ou de protocole. Ces commandes et 
echanges se font par I'intermediaire d'une interface logicielle de programmation 
(API) appropriee. 

La plupart des logiciels de routage et d'acheminement de paquets 
existants sont facilement disponibles dans I'environnement Unix, mais leur 
performance est habituellement limitee a cause des interruptions frequentes du 
systeme d'exploitation. II est beaucoup plus rapide d'utiliser un systeme 
Sexploitation en temps reel tel que VxWorks, mais cela complique la mise en 
place du logiciel de routage. 

Le role des processeurs de flux 24,25 est d'assister le systeme 
d'exploitation non-temps reel (tel qu'Unix), sur la base duquel fonctionne I'unite 
de gestion 26, dans les taches complexes de manipulation des flux qui 
requierent des performances en temps reel (acheminement, filtrage, 
chiffrement...). Ces processeurs mettent en ceuvre un certain nombre d'outils 
de manipulation des flux qui peuvent etre relies dynamiquement suivant toute 
combinaison pour effectuer la tache requise. Cette configuration peut etre 
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effectuee a travers le systeme d'exploitation Unix par appel des fonctions 
d'API, ce qui facilite largement la mise en place de nouvelles fonctionnalites 
par le programmeur. 

Comme illustre schematiquement par la figure 1, I'une des taches 

5 effectuees par le processeur de flux 24 de Tinterface exterieure 16 du routeur 
d'acces 15 consiste a emettre chaque paquet vers le routeur de concentration 
12 en lui adjoignant une signature numerique (bloc 40). Cette signature atteste 
que les paquets en question orit 6te soumis aux autres operations de controle 
de flux (bloc 39) effectuees par le processeur 24. ' 

10 L'interface correspondante 28 du routeur de concentration 12 comporte 

un module d'analyse des paquets regus sur la ligne 17 afin de s'assurer de la 
presence de la signature. 

Cette technique de signature permet lavantageusement de 
decentraliser les operations de controle de flux necessaires aux relations 

15 contractuelles entre le gestionnaire du routeur de concentration 12 ? qui fournit 
le service de raccordement au reseau partage 10, et les abonnes dont les 
installations 13 sont reliees a ce routeur de concentration 12. Dans les 
realisations classiques, ces operations de controle de flux sont effectuees au 
niveau du routeur de concentration. II en resulte une complexity considerable 

20 du routeur de concentration lorsqu'il est raccorde a d'assez nombreuses 
installations privees, et un manque de souplesse pour les abonnes lorsque des 
modifications sont requises. 

Le fait d'effectuer ces operations de controle de flux au niveau des 
routeurs d'acces 15 procure a cet egard une grande souplesse. La signature 

25 des paquets garantit alors au fournisseur de service que la ligne 17 ne lui 
envoie pas de paquets valides qui echapperaient au cadre contractuel avec 
Tabonne. Si un tel paquet venait a apparaitre 1 l'interface 28 du routeur de 
concentration 12 I'eliminerait simplement apres avoir constate Tabsence de la 
signature adequate. 

30 Diverses methodes classiques peuvent etre utiiisees pour construire et 

analyser la signature des paquets, sur la base d'un secret partage entre les 
routeurs 12 et 15. La signature peut notamment avoir la forme d'un mot de 
code ajdute au contenu du paquet, et calcule sur la base de tout ou partie de 
ce contenu et d'une cle secrete, le calcul etant effectue a Paide d'une fonction 

35 extremement difficile a inverser pour recuperer la cle secrete. On peut ainsi 
utiliser une technique de hachage du contenu du paquet, ou d'une partie 



seulement de ce contenu, par exemple un hachage MD5 (voir R. Rivest, 
RFC 1231 , « The MD5 Message Digest Algorithm »). 

On peut egalement utiliser une methode de chiffrement pour former la 
signature des paquets. Le contenu du paquet est alors chiffre a I'aide d'une cle 
privee, I'interface 28 du routeur de concentration assurant le dechiffrement 
correspondant a I'aide d'une cle publique ou privee. Les paquets non chiffres,. 
ou chiffres au moyen d'une mauvaise cle sont alors detruits au niveau de 
('interface 28. 

En option, on peut prevoir que I'interface 28 du routeur de 

i 

concentration signe egalement lesj paquets qu'elle emet sur la ligne 17, et que 
Tinterface 16 du routeur d'acces verifie cette signature pour s'assurer de la 
validite des paquets regus. 1 

La figure 3 montre ('organisation d'un processeur de flux 24 ou 25 
d'une interface du routeur d'acces 1 5. 

Le processeur de flux re$oit une sequence de paquets entrants 30 
comportant chacun un en-tete' 31 conformement au protocole IP, et delivre une 
sequence de paquets sortants 32 ayant un en-tete 33 apres avoir effectue 
certains traitements elementaires jdont la nature depend des flux de donn6es 
concernes. 

Les paquets entrants 30 sont ranges dans une memoire de paquets 35 
organisee en pile de type premier entre - premier sorti (FIFO). Chaque paquet 
est fourni a la memoire 35 avec une etiquette de traitement 36. L'etiquette de 
traitement a initialement une valeur determinee (0 dans I'exemple represents) 
pour les paquets entrants 30. 

Le processeur de flux est supervise par une unite 37 qui coopere avec 
une table 38 permettant d'associer un module de traitement particulier a 
chaque valeur de l'etiquette de traitement. Dans I'exemple simplifie represents 
sur la figure 3, le processeur de flux comporte un ensemble de cinq modules 
de traitement M1-M5 operant des traitements elementaires de nature 
differente. 

Apres I'execution d'un traitement elementaire, I'unite de supervision 37 
consulte la memoire de paquets 35. Si celle-ci n'est pas vide, un paquet en est 
extrait suivant 1'organisation FIFO. L'unite de supervision 37 consulte la table 
38 pour determiner quel module de traitement correspond a l'etiquette de ce 
paquet. L'unite 37 active alors le module en question pour qu'il effectue le 
traitement elementaire correspondant. Dans certains cas, ce traitement 
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elementaire peut entrainer une modification du contenu du paquet, notamment 
de son en-tete. 

On comprendra que l'« extraction » du paquet a laquelle il est fait 
reference est une extraction au sens logique de la mernoire FIFO. Le paquet 

5 n ' es t pas necessairement enleve de la mernoire. Les adresses des paquets 
dans la mernoire 35 peuvent etre gerees de fagon classique au moyen de 
pointeurs pour respecter Torganisation FIFO. Le module de traitement active 
peut disposer simplement de Tadresse du paquet courant pour effectuer les 
lectures, analyses, modifications ou suppressions requises le cas echeant. 

-io Le premier module de traitement M1, associe a I'etiquette initiale 0 ( est 

un module de filtrage qui analyse es champs d'adresse et/ou de definition de 
protocole, et/ou de port de I'en-tete IP des paquets. A I'aide d'une table 
d'association T1 ( le module de filtrage M1 delivre une seconde etiquette de 
traitement qui identifie un enchamement de traitements elementaires qui 

15 devront ensuite etre effectues sur le paquet. Apres avoir determine la seconde 
etiquette de traitement pour le paquet extrait de la mernoire 35, le module de 
filtrage M1 range a nouveau le paquet dans la mernoire 35, avec la seconde 
etiquette de traitement. Le traitement elementaire suivant sera alors execute au 
moment ou le paquet sera de nouveau extrait de la mernoire. 

20 Le module M2 est un module de comptage des paquets relatifs a 

certains flux. Dans le cas de la table d'association 38 representee sur la figure 
3, ce module M2 est appele pour les etiquettes de traitement 2 et 4. Lorsqu'il 
traite un paquet, le module M2 incremente un compteur avec le nombre 
d'octets du paquet, ou encore avec la valeur 1 dans le cas d'un compteur de 

25 paquets. Le compteur peut etre securise, notamment s'il sert a la facturation de 
I'abonne par le gestionnaire du reseau 10. Dans le cas d'un compteur securise, 
des requetes sont regulierernent faites au fournisseur d'acces pour obtenir des 
credits de transmission, les paquets consideres etant detruits si le credit est 
epuise. 

30 Le module M3 de la figure 3 est un module de gestion de priorites. 

Dans le cas de la table d'association 38 representee sur la figure 3, ce module 
M3 est appele pour I' etiquette de traitement 3. Le module M3 opere sur le 
champ TOS ('Type Of Service") de I'en-tete IP des paquets. Le TOS est utilise 
dans le reseau pour gerer des priorites d'acheminement afin de fournir une 

35 certaine qualite de service sur certaines liaisons. Le champ TOS peut etre 
change selon des tables preenregistrees. Ces tables peuvent etre definies 



sous le controle du fournisseur d'acces pour eviter que des paquets soient 
transmis avec une priorite elevee de facon inappropriee, ce qui pourrait 
perturber le reseau. 

Le traitement elementaire effectue en dernier sur un paquet de la 
memoire, 35 est soit sa destruction (module M4 active par I'etiquette 8), soit sa 
remise vers la sortie du processeur de flux (module M5 active par I'etiquette 5 
ou 9). Le module M4 peut etre utilise pour detruire des paquets ayant une 
certaine destination et/ou une certaine provenance. 

Les modules M2 et M3, qui ne terminerit pas les traitements a assurer 
pour un paquet (sauf cas de destruction), fonctionnent chacun avec une table 
de traduction d'etiquette T2.T3. Cette table de traduction designe, pour 
I'etiquette de traitement extraite de la memoire 35 avec le paquet courant, une 
autre etiquette de traitement desighant le traitement elementaire suivant a 
assurer. Le traitement elementaire assure par ce module M2 ou M3 se termine 
par la mise en association du paquet avec cette autre etiquette de traitement et 
la reinjection du paquet ainsi traite dans la memoire 35. 

C'est ainsi qu'on peut effectuer des combinaisons de traitements tres 
variees sur les differents flux de donnees traversant le processeur. 

La figure 4 montre un exemple simplifie correspondant aux tables 
38.T1-T3 representees sur la figure 3. Le paquet entrant 30, associe a la 
premiere etiquette 0 est d'abord soumis au filtrage opere par le module M1. 

Dans le cas particulier considere, le processeur de flux 24 compte les 
paquets emis depuis une adresse source AS1 vers une adresse de destination 
AD1 et un port P1, et modifie le champ TOS de ces paquets avant de les 
delivrer sur la ligne 17, ce qui correspond a la branche superieure du graphe 
de la figure 4. D'autre part, le processeur de flux 24 compte les paquets issus 
d'une adresse de source AS2 vers un port P2 avant de les detruire, ce qui 
correspond a la branche inferieure de la figure 4. Les autres paquets sont 
simplement delivres vers la ligne 17. La valeur par defaut (9) de I'etiquette de 
traitement retournee par le module M1 designe done simplement le module de 
sortie M5. Si le module M1 detecte dans le paquet extrait de la memoire 35 la 
combinaison AS1, AD1, P1 dans les champs d'adresse et de port pertinents, il 
retoume le paquet avec I'etiquette de traitement 2. Si les valeurs AS2, P2 sont 
detectees dans les champs d'adresse et de port, c'est I'etiquette 4 qui est 
retournee avec le paquet. 

Ces etiquettes 2 et 4 correspondent toutes deux au module de 



comptage M2. L'etiquette va egalement designer pour ce module I'adresse 
memoire du compteur devant etre increments. La table 12 avec laquelle 
fdnctionne le module M2 permettra en fin de traitement d'effectuer le renvoi 
vers le module suivant a activer (M3 designe par l'etiquette 3 pour les paquets 
dont le TOS doit etre change, M4 designe par l'etiquette 8 pour les paquets a 
detruire). 

Le module M3 recoit des . paquets avec l'etiquette de traitement 3, et les 
retourne avec l'etiquette 9 apres avoir opere la modification requise du champ 
TOS. 

A partir de cet exemple simplifie, on voit que le processeur de flux 
permet, a partir de I'identification d'un flux par le module de filtrage M1, 
d'effectuer diverses combinaisons de traitements elementaires d'une maniere 
relativement simple et rapide. 

Un avantage principal de cette facon de proceder est la souplesse des 
operations de configuration du pjrocesseur de flux. Les tables 38.T1-T3 qui 
definissent un graphe quelconque de traitements elementaires, tel que celui 
represents sur la figure 4, peuvent etre construites de maniere relativement 
simple et avec une faible contrainte de temps reel au moyen de I'unite de 
gestion 36 a travers I' API. II en est de meme pour les informations permettant 
aux modules M1-M5 d'effectuer leurs traitements elementaires (description des 
comptages a operer par le module M2, facon de changer les champs TOS par 

le module M3, ...). 

Dans la pratique, le processeur de flux pourra comprendre divers 
modules de traitement autres que ceux represents a titre d'exemple sur les 
figures 3 et 4, suivant les besoins de chaque installation particuliere (par 
exemple, module de gestion des files d'attente de sortie, module de traduction 
d'adresses, ...). 

La fonction de signature des paquets emis, decrite precedemment, 
peut faire partie du traitement elementaire assure par le module de sortie M5. 
Dans une realisation typique du routeur d'acces, le processeur de flux 24 sera 
inclus dans un circuit integre d'application specifique (ASIC) organise autour 
d'un coeur de microcontroleur. Cette realisation permet qu'il n'y ait aucun acces 
physique entre les modules de controle de flux 39 (du moins ceux qui 
concernent les relations entre I'abonne et le gestionnaire du reseau 10) et le 
module M5 qui se charge de la signature des paquets, correspondant au bloc 
40 de la figure 1. Ceci ameliore la securite de la liaison du point de vue du 



gestionnaire du reseau. 



REVENDICATIONS 



1. Proce.de de transport de paquets entre une interface d'acces (16) 
d'une installation d'abonne (13) et un routeur de concentration (12) d'un reseau 
partage (10), caracterise en ce que I'interface d'acces procede a des 
operations de controle sur des flux de paquets emis vers le routeur de 
concentration, dans le cadre d'un contrat entre I'abonne et un gestionnaire du 
reseau partage, et en ce qu'apres avoir procede aux operations de controle vis- 
a-vis d'un paquet a emettre, I'interface d'acces emet ce paquet vers le routeur 
de concentration avec une signature basee sur un secret partage avec le 
routeur de concentration, authentifiant que le paquet a ete soumis aux 
operations de controle. 

2. Procede selon la revendication 1, dans lequel la signature consiste 
en un mot de code ajoute au contenu du paquet. 

3. Procede selon la revendication 2, dans lequel ledit mot de code est 
calcule par une technique de hachage d'une partie au moins du contenu du 
paquet, faisant intervenir le secret partage. 

4. Procede selon la revendication 1, dans lequel la signature consiste 
en un chiffrement du contenu du paquet a I'aide d'une cle privee formant ledit 
secret partage. 

5. Procede selon I'une quelconque des revendications 1 a 4, dans 
lequel I'obtention de la signature et certaines au moins des operations de 
controle sont realisees au sein d'un meme circuit integre, sans acces physique 
immediatement en amont de I'obtention de la signature. 

6. Interface d'acces pour relier un routeur d'acces (15) d'une 
installation d'abonne (13) a un routeur de concentration (12) d'un reseau 
partage (10), caracterisee en ce qu'elle comprend des moyens (39) de controle 
de flux de paquets emis vers le routeur de concentration, dans le cadre d'un 
contrat entre I'abonne et un gestionnaire du reseau partage, et des moyens de 
signature (40) recevant les paquets delivres par les moyens de controle de flux 
et produisant des paquets signes emis vers le routeur de concentration, 
chaque paquet signe comportant une signature basee sur un secret partage 
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avec le routeur de concentration, authentifiant que le paquet a ete soumis aux 
moyens de controle de flux. 

7. Interface selon la revendication 6, dans laquelle la signature 

consiste en un mot de code ajoute au contenu du paquet. 

5 8. Interface selon la revendication 7, dans laquelle ledit mot de code 

est calcule par les moyens de signature (40) par une technique de hachage 
d'une partie au moins du contenu du paquet, faisant intervenir le secret 
partage. . 

i 

9. Interface selon la revendication 6, dans laquelle la signature 
10 consiste en un chiffrement du contenu du paquet a I'aide d'une cle privee 

formant ledit secret partage. 

10. Interface selon Tune quelconque des revendications 6 a 9, dans 
laquelle les moyens de signature (40) et une partie au moins des moyens de 
controle de flux (39) font partie d'un meme circuit integre, sans acces physique 

15 entre les moyens de controle de flux et les moyens de signature. 
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